医疗卫生系统被爆漏洞,7亿公民信息泄露……

我是谁?我在哪?我要做什么?

这个本是自嘲的问题如果回答者除了自己还有别人……

近日,《法制日报》报道了一起特大侵犯公民个人信息案,该案中,某部委医疗服务信息系统遭“黑客”入侵,超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖。

这个数据让人情不自禁抖三抖。

实际上,个人医疗卫生信息泄露事件,此前已曾多次发生。

内鬼偷信息?

生孩子本是件私密事,隐婚隐育也见怪不怪。

但如果这些隐私,竟然被人扒拉个彻底,甚至将你的姓名、年龄、联系电话、预约(产检)日期、预约时段、末次月经、孕周及预产期信息四处转卖……

哔哔哔哔哔……此处省略一万句粗话。

医疗卫生系统被爆漏洞,7亿公民信息泄露……

去年,南方都市报记者曾曝光一则孕妇信息泄露事件,至少有上千名曾在深圳市妇幼保健院做过产检或分娩的女性,接到过母婴护理(俗称月嫂)或婴儿纪念品等公司的骚扰电话或是短信。

这些骚扰电话和短信的背后,是每一条泄露的孕妇信息都被明码标价,多数是一元。信息越精确,价格越高,高达百元一条的信息,可以精确到孕妇的具体分娩日期。围绕着孕检及分娩量在全国都排在前列的深圳市妇幼保健院,已然形成一条隐秘而数量庞大的孕妇信息买卖链条。

当时这起案件的幕后黑手直指曾任妇幼保健院保安的杨某,他通过朋友在深圳市妇幼保健院做护士的女友,多次出入医院下载了这些信息。

入侵系统偷信息

对比这种自己偷摸混进医院内部分批下载的伎俩,这次黑客直接入侵医疗系统,获取大批患者数据就显得“高级”多了。

据雷锋网(公众号:雷锋网)了解,今年三月,松阳县发生多起以“猜猜我是谁”方式冒充单位领导实施诈骗的案件。经过近一个月的侦查,警察蜀黍成功抓获11名犯罪嫌疑人,现场缴获用于实施诈骗的全国各地公民个人信息16.7万条,涉案金额117万余元。

居然有这么多?

医疗卫生系统被爆漏洞,7亿公民信息泄露……

警察蜀黍眉头一蹙,觉得事情并不简单。于是,警局通过侦查和查询银行资金往来情况,发现江西籍的廖某斌有在网上大肆出售孕检、银行、车主等公民个人信息的违法行为,其上家为福建籍的王某泉和河北籍的程某龙。

除了这三人以外,还有陈某亮、王某辉、杜某和何某耀形成了一个非法销售贩卖个人信息的一个团伙,并在QQ上专门建立一个聊天群用于个人信息的贩卖和交换。其中陈某亮还以蚂蚁搬家的方式通过伪装的邮包向*邮寄数十张成套银行卡。经多方努力,警方将22张已经邮寄至*还未派送的银行卡成功截获。

2016年10月,*机关收网,将涉案人员全部抓获,并当场查获各类公民个人信息2亿余条、银行卡200余套。

而经过法院审理发现,用于违法犯罪的数据源是被告王某辉和犯罪嫌疑人库某所提供。

他们是怎么暗戳戳进行的这些勾当呢?

雷锋网了解到,2016年2月王某辉入侵了某部委的医疗服务信息系统,将该系统数据库内的部分公民个人信息导出,并进行贩卖。他的好基友库某在2016年9月侵入某省扶贫网站,窃取了该系统内数个高级管理员的账号和密码,并下载系统内大量公民个人信息数据进行贩卖。随后,库某将其中一个账号和密码转卖给陈某亮,其下载大量公民个人信息后,又将该数据以及帐号和密码贩卖给了*等地的诈骗团伙。

环环相扣好生默契,不过等待他们的将是*之行。

这到底是什么操作

卫生系统“内鬼”泄露信息事件频频发生,虎视眈眈的黑客们也防不胜防。

那么攻击者往往通过哪些方式入侵医疗系统窃取患者数据呢?

医疗卫生系统被爆漏洞,7亿公民信息泄露……

白帽汇安全实验室负责人邓焕告诉雷锋网编辑,

从这些历史类似事件来看,很多医疗系统被曝涉及到数据泄露的漏洞多属于低级漏洞,如弱口令,SQL注入、命令执行等。而通常因为这类系统使用同一套程序系统搭建,一旦这种行业系统存在漏洞,使用该程序的系统都将受到影响。通常这种类似的入侵事件都是通过系统对外的网站,对其发起攻击,然后窃取其中的数据,但是很多泄露数据事件中系统被攻击遭到入侵只是其中一种方式,也不排除有内部工作人员对在贩卖泄露数据的可能。

既然有了漏洞,修补不就好了吗?

这类事件的漏洞,都是可以被修复。若要降低或者避免类似事件的发生,就需要对系统程序进行定期的安全检测,以及相应的安全监控,使用相应的防护软件及设备。

被泄露的数据中是否有你我还不得而知,但信息泄露宛如明火,一不留神可能就烧及自身。那么对普通患者来说,是否无法避免自身信息被黑产盗用?有什么措施可以避免自身信息泄露?

对于类似信息泄露事件来说,涉及到的系统都是医疗,或某些监部门提供的系统,单单靠患者很难避免。因为信息的录入是由相关工作人员负责,患者一旦提供信息后,数据便交由相关单位来保存处理。所以需要呼吁系统提供方、信息采集方要加强信息的安全存储,以及相关系统的安全防护,检测等工作,避免使用的系统存在漏洞,增加信息泄露的风险。




本文作者:又田
本文转自雷锋网禁止二次转载,原文链接
上一篇:android中文api(89)——ViewManager


下一篇:mysql中文乱码